Wat betekent de Baseline Informatiebeveiliging Overheid (BIO) nu eigenlijk?

Geplaatst door

DE ROL VAN BIO IN OVERHEIDSORGANISATIES

Afgelopen kerstvakantie las ik het boek Het is oorlog maar niemand die het ziet van NRC journalist Huib Modderkolk. Zie hier een recensie. Een boek over de schaduwkant van het internet, en daarmee verplichte literatuur voor elke zichzelf respecterende CISO. Maar ook de manager of toezichthouder van iedere denkbare organisatie zal baat bij dit werk hebben. Het heeft mij vooral bewust gemaakt van de enorme kwetsbaarheid van overheidsorganisaties.

BIO Governance en risicomanagement

Informatiesystemen

Ook COSO ERM 2017 gaf aan, dat in deze tijd, data en informatiesystemen cruciaal zijn voor het functioneren van organisaties. Hierdoor wordt het steeds essentiëler om de continuïteit van de bedrijfsprocessen goed te bewaken. Daarnaast moet de beveiliging passend zijn en in lijn met de wet- en regelgeving. Om dit mogelijk te maken is onlangs de BIO ontstaan die hier de criteria voor dicteert. Na het lezen van de BIO en de richtlijnen staat mij dan ook een zeer uitgeschreven en concrete aanpak voor ogen.

De achtergrond van BIO

Er bestond al enorm veel normering maar onlangs is deze samengevoegd in de Baseline Informatiebeveiliging Overheid (BIO). In deze BIO zijn twee belangrijke keuzes gemaakt, namelijk een sterke focus op governance en risicomanagement. De ISO27002 is letterlijk overgenomen en bevat een concrete uitwerking van de 114 mogelijke beheersmaatregelen (controls).

Governance

De BIO creëert meer duidelijkheid over de governance rondom informatiebeveiliging (die nadrukkelijk bij bestuurders of lijnmanagers ligt). In de handreiking van de VNG “10 bestuurlijke principes voor informatiebeveiliging ” wordt hun rol klip en klaar uitgelegd. Los van de harde principes wordt er concreet gemaakt wat er nu werkelijk verwacht wordt.

De bestuurder is verantwoordelijk voor een veilige informatievoorziening. Het is daarom aan de bestuurder om de risicobereidheid te bepalen en daarmee te controleren of de maatregelen binnen de organisatie de risico’s terugbrengen tot een voor de bestuurder acceptabel niveau. Overschrijding van dat niveau vereist expliciete besluitvorming.

Risicosturing

Maar waar te beginnen? Risicosturing wordt terecht als basis gebruikt bij het stellen van de juiste prioriteiten. Er dient een continu proces van identificatie en beoordeling van risico’s plaats te vinden. Denk hierbij bijvoorbeeld aan de volgende risico’s:

  • privacy schendingen door een datalek
  • informatie die niet integer is en/of het in verkeerde handen vallen van deze informatie
  • gijzeling van belangrijke data
  • economische schade door het uitlekken van vertrouwelijke plannen
  • fysieke schade door storingen in systemen in de openbare ruimte

In de BIO zijn op basis van de risico’s (generieke schades en dreigingen) een drietal standaard basisbeveiligingsniveaus (BBN’s) gedefinieerd met bijbehorende beveiligingseisen die moeten worden ingevuld. Per informatiesysteem bepaalt het lijnmanagement het BBN.

Restrisico’s

Ná de analyse wordt bepaald wat nodig is qua beheersing en controls en hoe aan de beveiligingsdoelstelling van de control voldaan kan worden. Natuurlijk zijn risico’s nooit helemaal weg te nemen. Van de restrisico’s moet boven alles bepaald worden of ze acceptabel zijn. Dit alle behelst een continu proces waarbij het lijnmanagement ervoor moet zorgen dat steeds de Plan-Do-Check-Act cyclus wordt doorlopen. Ten slotte moet verantwoording worden afgelegd over de risicoafweging en over de effectieve invulling van de controls.

Tot slot

Hoewel er enorm veel aandacht naar IT uitgaat blijft de mens toch vaak het grootste gevaar. Bewustwording is daarmee een uitermate belangrijke control. Wellicht dat het verplicht lezen van het boek Het is oorlog maar niemand die het ziet dit bewustzijn tot grotere hoogtes kan stuwen.

Daarnaast lijkt het nu belangrijker dan ooit om als risicomanager (vanuit control of financiën) nadrukkelijk de verbinding met de CISO te zoeken.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s